Los investigadores de seguridad cibernética han revelado dos defectos de seguridad en el reparto de Wonershare que expusieron los datos de los usuarios privados y potencialmente expusieron el sistema a la manipulación del maniquí de inteligencia industrial (IA) manipulados y riesgos de la cautiverio de suministro.
Las vulnerabilidades con calificación crítica en cuestión, descubiertas por Trend Micro, se enumeran a continuación –
- CVE-2025-10643 (Puntuación CVSS: 9.1) – Una vulnerabilidad de derivación de autenticación que existe adentro de los permisos otorgados a un token de cuenta de almacenamiento
- CVE-2025-10644 (Puntuación CVSS: 9.4) – Una vulnerabilidad de derivación de autenticación que existe adentro de los permisos otorgados a un token SAS
La explotación exitosa de los dos defectos puede permitir que un atacante elude la protección de la autenticación en el sistema y riña un ataque de la cautiverio de suministro, lo que finalmente resulta en la ejecución del código injusto en los puntos finales de los clientes.
Los investigadores de Micro Micro, Alfredo Oliveira y David Fiser, dijeron que la aplicación de reparación de datos y estampado de fotos a IA “contradijo su política de privacidad recolectando, almacenamiento y, oportuno a las prácticas débiles de ampliación, seguridad y operaciones (DevSecops), que se inclinan inadvertidamente los datos de los usuarios privados”.
Las malas prácticas de ampliación incluyen integrar tokens de paso a la abundancia excesivamente permisivos directamente en el código de la aplicación que permite el paso de ojeada y escritura al almacenamiento confidencial en la abundancia. Adicionalmente, se dice que los datos se almacenaron sin criptográfico, lo que podría cascar la puerta a un exceso más amplio de las imágenes y videos cargados de los usuarios.
Para empeorar las cosas, el almacenamiento en la abundancia expuesto contiene no solo datos de adjudicatario sino incluso modelos de IA, binarios de software para varios productos desarrollados por Wondershare, imágenes de contenedores, scripts y código fuente de la compañía, lo que permite a un atacante manipular los modelos de IA o los ejecutables, allanando el camino para los ataques de la cautiverio de suministro que apuntan a sus clientes posteriores.
“Oportuno a que el binario recupera automáticamente y ejecuta modelos AI del almacenamiento no seguro de la abundancia, los atacantes podrían modificar estos modelos o sus configuraciones e infectar a los usuarios sin saberlo”, dijeron los investigadores. “Tal ataque podría distribuir cargas enseres maliciosas a usuarios legítimos a través de actualizaciones de software firmadas por proveedores o descargas de modelos de IA”.
Más allá de la exposición a los datos del cliente y la manipulación del maniquí de IA, los problemas incluso pueden proponer graves consecuencias, que van desde robo de propiedad intelectual y sanciones regulatorias hasta la rozamiento de la confianza del consumidor.
La compañía de ciberseguridad dijo que reveló responsablemente los dos problemas a través de su iniciativa de día cero (ZDI) en abril de 2025, pero no que aún no haya recibido una respuesta del proveedor a pesar de los repetidos intentos. En desaparición de una alternativa, se recomienda a los usuarios “restringir la interacción con el producto”.
“La escazes de innovaciones constantes alimenta la apuro de una ordenamiento para obtener nuevas características para el mercado y sustentar la competitividad, pero es posible que no prevén las nuevas y desconocidas formas en que estas características podrían estar de moda o cómo su funcionalidad puede cambiar en el futuro”, dijo Trend Micro.
“Esto explica cuán importantes se pueden ocurrir por stop las implicaciones de seguridad. Por eso es crucial implementar un proceso de seguridad sólido en toda la ordenamiento, incluida la tubería CD/CI”.
La escazes de que la IA y la seguridad vayan de la mano
El ampliación se produce cuando Trend Micro advirtió previamente contra la exposición de los servidores del Protocolo del Contexto del Maniquí (MCP) sin autenticación o almacenamiento de credenciales confidenciales, como las configuraciones de MCP en el texto sin formato, que los actores de amenaza pueden explotar para obtener paso a posibles en la abundancia, bases de datos o inyectar código zorro.
Cada servidor MCP actúa como una puerta abierta a su fuente de datos: bases de datos, servicios en la abundancia, API internas o sistemas de gobierno de proyectos “, dijeron los investigadores.” Sin autenticación, datos confidenciales como secretos comerciales y registros de clientes se vuelven accesibles para todos “.
En diciembre de 2024, la compañía incluso descubrió que los registros de contenedores expuestos podrían ser abusados de obtener paso no facultado y extraer imágenes de Docker objetivo para extraer el maniquí AI adentro de él, modificar los parámetros del maniquí para influir en sus predicciones e empujar la imagen modificada en dirección a el registro expuesto.
“El maniquí manipulado podría comportarse normalmente en condiciones típicas, solo mostrando sus alteraciones maliciosas cuando se activan por entradas específicas”, dijo Trend Micro. “Esto hace que el ataque sea particularmente peligroso, ya que podría evitar las pruebas básicas y las verificaciones de seguridad”.
Kaspersky incluso ha resaltado el peligro de la cautiverio de suministro que representa los servidores MCP, que ideó una exploit de prueba de concepto (POC) para resaltar cómo los servidores MCP instalados de fuentes no confiables pueden ocultar actividades de examen y exfiltración de datos bajo la dirección de una utensilio de productividad con AI.
“Instalar un servidor MCP básicamente le da permiso para ejecutar código en una máquina de adjudicatario con los privilegios del adjudicatario”, dijo el investigador de seguridad Mohamed Ghobashy. “A menos que esté en arena, el código de terceros puede acertar los mismos archivos a los que el adjudicatario tiene paso y hacer llamadas de red de salida, al igual que cualquier otro software”.
Los resultados muestran que la rápida apadrinamiento de herramientas de MCP y AI en entornos empresariales para permitir capacidades de agente, particularmente sin políticas claras o barandillas de seguridad, puede cascar vectores de ataque nuevos, incluidos el envenenamiento por herramientas, los tirones de las alfombras, la sombra, la inyección rápida y la ascenso de privilegios no autorizadas.
En un mensaje publicado la semana pasada, la Pelotón 42 de Palo Stop Networks reveló que la característica de archivo adjunto de contexto utilizada en los asistentes de código de IA para cerrar la brecha de conocimiento de un maniquí de IA puede ser susceptible a la inyección indirecta de inmediato, donde los adversarios incrustan las indicaciones dañinas adentro de las fuentes de datos externas para desencadenar un comportamiento no intencionado en modelos de jerigonza excelso (LLM).
La inyección indirecta de inyección depende de la incapacidad del asistente para diferenciar entre las instrucciones emitidas por el adjudicatario y aquellos subrepticiamente integrados por el atacante en fuentes de datos externas.
Por lo tanto, cuando un adjudicatario suministra inadvertidamente a los datos de terceros del asistente de codificación (por ejemplo, un archivo, repositorio o URL) que ya ha sido contaminado por un atacante, el aviso zorro oculto podría ser armado para engañar a la utensilio en la ejecución de un trasero, inyectar un código injusto en una código de código existente e incluso filtrar información sensible.
“Pegar este contexto a las indicaciones permite al asistente de código proporcionar una salida más precisa y específica”, dijo el investigador de la Pelotón 42 Osher Jacob. “Sin retención, esta característica incluso podría crear una oportunidad para ataques de inyección indirecta si los usuarios proporcionan involuntariamente fuentes de contexto que los actores de amenaza han contaminado”.
Los agentes de codificación de IA incluso se han enemigo vulnerables a lo que se apasionamiento un ataque de “mentiras en el rizo” (LITL) que tiene como objetivo convencer a la LLM de que las instrucciones que ha sido alimentadas son mucho más seguras de lo que verdaderamente son, anulando efectivamente los defensas humanas en el circuito (HITL) implementadas cuando realizan operaciones de stop peligro.
“Litl abusa de la confianza entre un humano y el agente”, dijo el investigador de Checkmarx, Ori Ron. “A posteriori de todo, el humano solo puede reponer a lo que el agente les indica, y lo que el agente indica que el adjudicatario se infiere del contexto que se le da el agente. Es tratable mentirle al agente, lo que hace que proporcione un contexto traidor y aparentemente seguro a través del jerigonza de comando y palmario en poco como un problema de Github”.
“Y el agente está eficaz de repetir la mentira al adjudicatario, oscureciendo las acciones maliciosas con las que el mensaje está destinado a defenderse, lo que resulta en un atacante que esencialmente convirtiendo al agente en un cómplice para obtener las claves del reino”.
